Перейти к содержанию

Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom

Tarhunchik
 Поделиться

Рекомендуемые сообщения

Tarhunchik

Tarhunchik

Опубликовано
Опубликовано

Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.

Addition.txt FRST.txt Зашифрованные.7z

safety

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start:
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC.
2025-01-10 23:11 - 2025-01-10 23:11 - 000001430 _____ C:\Users\usr1cv83\Desktop\How-to-decrypt.txt
2025-01-10 22:26 - 2025-01-10 22:26 - 000000000 ____D C:\temp
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Users\usr1cv83\AppData\Roaming\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-01-10 23:15 - 2023-12-18 16:33 - 000000000 __SHD C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста отчеты после сканирования KVRT  и лог сканирования Cureit, можно поместить в один архив без пароля.

Tarhunchik

Tarhunchik

Опубликовано
  • Автор
Опубликовано

Вот.

Logi.7z

Что у Cureit, что у KVRT есть папки Quarantine. Мложет быть пригодятся?

safety

safety

Опубликовано
Опубликовано

из найденного в Cureit:

C:\Users\Администратор\Downloads\AnyDesk.exe - infected with Trojan.MulDrop28.52419
C:\Users\Администратор\Downloads\AnyDesk.exe - infected

в kvrt это скорее всего тело шифровальщика:

            <Event12 Action="Detect" Time="133809952814626277" Object="C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0\steam.exe"

 

есть еще пострадавшие от шифровальщика устройства, или только данный сервер был зашифрован?

 

safety

safety

Опубликовано
Опубликовано (изменено)

Учетную запись ограничили и отключили после шифрования?

(из под нее похоже было шифрование.)

USR1CV83 (S-1-5-21-1281665750-1147704142-2868909237-1032 - Limited - Disabled) => C:\Users\usr1cv83

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Проверьте ЛС.

----------

Увы, по данному типу шифровальщика не сможем вам помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalosha
      Поймали шифровальщик
      Автор kalosha
      Доброго времени суток. на компе поработал шифровальщик. прошу подсказать чем можно расшифровать все файлы. Логи прикрепил. Так же прикрепил файл с возможным ключом и с зашифрованным файлом в архиве session.rar
      CollectionLog-2026.01.14-09.38.zip session.rar
    • Salien
      Шифровальщик зашифровал все файлы на ПК
      Автор Salien
      Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 
    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
×
×
  • Создать...